Knebba Skrevet 29. november 2005 Del Skrevet 29. november 2005 Noen som kunne vist\forklart hvordan man sikrer seg mot at det som blir satt inn i mysql ikke ødelegger? <?php "INSERT INTO `brukerfilmer` SET `filmtittel`='" . $_POST['tittel'] . "', `navn`='" . $_FILES['file']['name'] . "', `kommentar`='" . $_POST['koment'] . "', `produsent`='" . $_POST['prod'] . "', `godkjent`='0', `dato`=NOW() " ?> den f.eks har hørt om mysql-injections, og prøvd på strip_tags, html_specialchars men får det ikke til å funke når variablene blir hentet med post.. har just begynt med mysql så er sikkert noe med det og Lenke til kommentar
ZoRaC Skrevet 29. november 2005 Del Skrevet 29. november 2005 Jeg bruker en funksjon jeg fant på php.net som jeg kjører all input gjennom: function realsafehtml($str) { // Don't do anything if there's no difference or if the original string is empty $oldstr = ""; while($str != $oldstr) { $oldstr = $str; //nuke script and header tags and anything inbetween $str = preg_replace("'<script[^>]*>.*</script>'siU", "", $str); $str = preg_replace("'<head[^>]*>.*</head>'siU", "", $str); //listed of tags that will not be striped but whose attributes will be (br|b|i, etc) $allowed = ""; //start nuking those suckers. don you just love MS Word's HTML? $str = preg_replace("/<((?!\/?($allowed)\b)[^>]*>)/xis", "", $str); $str = preg_replace("/<($allowed).*?>/i", "<\\1>", $str); } return mysql_escape_string($str); } Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå